Katalog CVE

CVE-2026-54306

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 17 — wyżej niż 17% wszystkich znanych CVE

Streszczenie

n8n to platforma automatyzacji przepływów pracy o otwartym kodzie źródłowym. Przed wersjami 2.25.7 i 2.26.2 podatność na zanieczyszczenie prototypu umożliwiała spreparowanemu ładunkowi publicznego webhooka wstrzyknięcie pól kontrolowanych przez atakującego do danych przepływu pracy podczas wewnętrznego kopiowania obiektów. Pola te mogły być ujawniane i konsumowane jako normalne wartości przez wbudowane węzły downstream.

Ocena ryzyka

Ryzyko polega na tym, że atakujący może wykorzystać przepływ pracy jako zdezorientowanego pośrednika, celując w niezamierzone rekordy lub wysyłając żądania wychodzące przy użyciu skonfigurowanych poświadczeń właściciela przepływu pracy, co może prowadzić do nieautoryzowanego dostępu lub wycieku danych.

Rekomendacja

Zaleca się natychmiastową aktualizację n8n do wersji 2.25.7 lub 2.26.2, które zawierają poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

n8n is an open source workflow automation platform. Prior to 2.25.7 and 2.26.2, a prototype pollution vulnerability allowed a crafted public webhook payload to inject attacker-controlled fields into workflow data during internal object copying. These fields could be surfaced and consumed as normal values by downstream built-in nodes. Where a workflow combines a public webhook with action nodes that consume the resulting fields, an attacker could cause the workflow to act as a confused deputy — targeting unintended records or issuing outbound requests using the workflow owner's configured credentials. This vulnerability is fixed in 2.25.7 and 2.26.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS